Kerentanan kritis (CVE-2022-0811) telah diidentifikasi di CRI-O, sebuah runtime untuk mengelola kontainer terisolasi, yang memungkinkan Anda melewati isolasi dan mengeksekusi kode Anda di sisi sistem host. Jika CRI-O digunakan sebagai pengganti containerd dan Docker untuk menjalankan container yang berjalan di bawah platform Kubernetes, penyerang dapat memperoleh kendali atas node mana pun di cluster Kubernetes. Untuk melakukan serangan, Anda hanya memiliki hak yang cukup untuk menjalankan container Anda di cluster Kubernetes.
Kerentanan ini disebabkan oleh kemungkinan mengubah parameter sysctl kernel βkernel.core_patternβ (β/proc/sys/kernel/core_patternβ), yang aksesnya tidak diblokir, meskipun faktanya itu bukan salah satu parameter yang aman untuk berubah, hanya valid di namespace wadah saat ini. Dengan menggunakan parameter ini, pengguna dari sebuah wadah dapat mengubah perilaku kernel Linux sehubungan dengan pemrosesan file inti di sisi lingkungan host dan mengatur peluncuran perintah arbitrer dengan hak root di sisi host dengan menentukan penangan seperti β|/bin/sh -c 'perintah'β .
Masalahnya telah ada sejak rilis CRI-O 1.19.0 dan telah diperbaiki di pembaruan 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2, dan 1.24.0. Di antara distribusi, masalah muncul di Red Hat OpenShift Container Platform dan produk openSUSE/SUSE, yang memiliki paket cri-o di repositorinya.
Sumber: opennet.ru